Zakonom o kibernetičkoj sigurnosti u nacionalno zakonodavstvo prenesena je EU NIS2 direktiva (Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije).
Zakon uspostavlja novi sustav upravljanja kibernetičkom sigurnošću, definira nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti.
Zakonom se utvrđuju sektori, podsektori i vrste subjekata među kojima će se kategorizirati subjekti koji će morati provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima i imati obvezu prijavljivanja značajnih kibernetičkih incidenata.
Također, Zakonom o kibernetičkoj sigurnosti uspostavlja se okvir strateškog planiranja u području kibernetičke sigurnosti te utvrđuje nacionalni okvir upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
Obveznici Zakona o kibernetičkoj sigurnosti su pravne osobe koje posluju u sektorima i podsektorima iz Priloga I. i Priloga II. Zakona o kibernetičkoj sigurnosti te su kategorizirani kao ključni ili važni subjekti.
Građani i nekategorizirane pravne osobe nisu obveznici Zakona.
Svaka pravna osoba može provjeriti predstavlja li subjekt za koji će se provoditi postupak kategorizacije kroz odgovore na sljedeća pitanja:Također, važno je napomenuti da su predviđene i određene iznimke u vidu kriterija za kategorizaciju neovisno o veličini subjekta (npr. pružatelji usluga povjerenja).
Sve obveze iz Zakona, kategorizirani subjekti primjenjuju tek nakon zaprimanja službene Obavijesti o provedenoj kategorizaciji od nadležnog tijela.
Upravljanje uslugama informacijsko-komunikacijske tehnologije (IKT), u kontekstu Zakona o kibernetičkoj sigurnosti (Zakon) podrazumijeva usluge koje pravne osobe daju drugim pravnim osobama (B2B), koje mogu biti javni ili privatni subjekti prema definiciji iz Zakona. Pri tome se razlikuju dvije grupe pružatelja usluga - pružatelji upravljanih usluga i pružatelji upravljanih sigurnosnih usluga.
Upravljane usluge odnose se u širem smislu na IKT te obuhvaćaju različite usluge koje se sastoje od upravljanja mrežnim i informacijskim sustavima na razini cijelog sustava, ili na nekim segmentima mrežnog i informacijskog sustava, kao što je podrška u održavanju pojedinih vrsta poslužitelja, određene vrste mrežne opreme, pojedinih aplikacijskih sustava i slično. Pri tome pružatelji upravljanih usluga koriste pristup u fizičke prostore gdje je IKT oprema instalirana i/ili pristupaju određenoj IKT opremi daljinski, a pri čemu redovito koriste visoke razine privilegija za pristup IKT sustavu, koje su potrebne za obavljanje ovakvih upravljanih usluga.
Upravljane sigurnosne usluge također se odnose na IKT, ali na uži segment sigurnosti IKT-a, pri čemu pružatelj upravljanih sigurnosnih usluga provodi ili pruža pomoć u aktivnostima povezanim s upravljanjem kibernetičkim sigurnosnim rizicima. Radi se o područjima upravljanja kao što su odgovor na incidente, penetracijska testiranja, revizije sigurnosti ili različite vrste savjetovanja povezanog s tehničkom potporom ili upravljanjem kibernetičkim sigurnosnim rizicima, u kojima pružatelji upravljanih sigurnosnih usluga imaju posebno važnu ulogu u pomaganju subjektima u njihovim nastojanjima da spriječe i otkriju incidente te odgovore na njih ili se oporave od njih.
Pružatelji upravljanih i upravljanih sigurnosnih IKT usluga i sami su mete kibernetičkih napada te predstavljaju poseban kibernetički sigurnosni rizik zbog svoje bliske integracije u rad svojih klijenata. Stoga svi pružatelji upravljanih usluga i upravljanih sigurnosnih usluga, koji takve usluge daju kategoriziranim ključnim i važnim subjektima u smislu Zakona, moraju i sami biti kategorizirani kao ključni ili važni subjekti, a ako nisu prije kategorizirani prema općim kriterijima Zakona, kategoriziraju se prema posebnim kriterijima kao davatelji usluga kategoriziranim subjektima i važni subjekti, neovisno o njihovoj veličini (Uredba o kibernetičkoj sigurnosti, članak 11.).
Pružatelji upravljanih IKT usluga pripadaju segmentu eksternaliziranog održavanja IT sustava kategoriziranih subjekata. Kada kategoriziranim subjektima, koji imaju organiziran vlastiti IT tim i IT infrastrukturu, održavanje aplikacija provode vanjski pružatelji IT usluga u koordinaciji s lokalnim IT timom, ne govorimo o pružateljima upravljanih IKT usluga jer tu uslugu ne odrađuju samostalno. Sličan primjer je i velik broj poslovnih softverskih rješenja poput SAP-a ili urudžbenog zapisnika, koji funkcioniraju na isti način, ili putem vlastite IT infrastrukture i IT timova kategoriziranih subjekata, ili kao slična rješenja na infrastrukturi računalstva u oblaku. Sve to vrijedi i za komercijalni softver koji se licencira, od komercijalnih operacijskih sustava i uredskih softverskih paketa do bilo kojeg sličnog produkta (Commercial-Of-The-Shelf/COTS).
Moglo bi se reći kako su pružatelji upravljanih IKT usluga više prisutni u segmentu malih i mikro pravnih osoba, no u posljednjih nekoliko godina i u tom segmentu tržišta jako raste korištenje računalstva u oblaku, a koje opet najčešće ne spada u ovaj segment upravljanja IKT uslugama.
Drugi primjer pružatelja upravljanih IKT usluga su softverska rješenja koja se, u obliku raznih softverskih biblioteka, koriste, primjerice za geografsko-informacijsku podršku, gdje te vanjske tvrtke daju subjektima autonomni sloj programske podrške koji sami održavaju i ažuriraju korištenjem vanjskih pristupnih računa s visokim privilegijama na mrežnoj i informacijskoj infrastrukturi subjekata kao što su telekom operatori i slični. Ovo je klasični primjer upravljanja IKT uslugama.
Upravljane sigurnosne IKT usluge su daleko češće u praksi i utvrđene su i novim amandmanima EU Cyber Security Act-a (CSA+) iz siječnja 2025. godine, koji će se prenijeti u nacionalno zakonodavstvo kroz izmjene i dopune Zakona o provedbi kibernetičke sigurnosne certifikacije („Narodne novine“, br. 63/22.), zajedno s aktualnom širom revizijom spomenutog EU CSA akta. Upravljana sigurnosna usluga u CSA+ definirana je kao „usluga koja se pruža trećoj strani te se sastoji od obavljanja aktivnosti povezanih s upravljanjem kibernetičkim sigurnosnim rizicima, kao što su rješavanje incidenata, penetracijska testiranja, revizije sigurnosti i savjetovanje, uključujući stručno savjetovanje, povezano s tehničkom potporom, ili pružanje pomoći u obavljanju tih aktivnosti“.
Rješavanje izazova identificiranja pružatelja upravljanih i upravljanih sigurnosnih IKT usluga bit će ostvareno u narednom razdoblju provedbe Zakona o kibernetičkoj sigurnosti, kroz postupke revizije, odnosno kasnije postupke stručnog nadzora. S obzirom na to da postoji vrlo mala razlika između mjere koja regulira lanac opskrbe i pružatelja upravljanih IKT usluga, vremenom će se na strani kategoriziranih subjekata formalizirati evidencija dobavljača pa samim time i jasnije potvrditi eventualni statusi pružatelja upravljanih i upravljanih sigurnosnih IKT usluga.
Važno je napomenuti da to što su neke pravne osobe pružatelji upravljanih i upravljanih sigurnosnih IKT usluga, i time su i sami subjekti obveznici Zakona, ne mijenja obavezu njihovih ugovornih obaveza s kategoriziranim subjektima kroz mjere lanca opskrbe, već im zbog osjetljivosti upravljanja IKT uslugama uvodi dodatnu obavezu vlastite kategorizacije. Pri tome su kategorizirani subjekti koji sklapaju ugovorne odnose s drugim pravnim osobama, neovisno o tome jesu li te pravne osobe kategorizirane ili nisu, odgovorni u sadržajima svojih ugovora pratiti zahtjeve iz Priloga II. Uredbe o kibernetičkoj sigurnosti prema mjeri iz točke 8. Sigurnost lanca opskrbe.
Obveznici Zakona o kibernetičkoj sigurnosti dužni su provoditi zahtjeve kibernetičke sigurnosti koji se sastoje od:
Također, ključni i važni subjekti dužni su periodično provjeravati usklađenost mjera upravljanja kibernetičkim rizicima koje su uspostavili u svom subjektu s propisanim mjerama upravljanja kibernetičkim sigurnosnim rizicima. U tom smislu, ključni subjekti dužni su provoditi revizije kibernetičke sigurnosti, a važni subjekti dužni su provoditi samoprocjene kibernetičke sigurnosti.
Zakon o kibernetičkoj sigurnosti definira ukupno 19 sektora i 15 podsektora među kojima se kategoriziraju subjekti. Prilogom III. Zakona određuje se podjela nadležnosti u području kibernetičke sigurnosti, odnosno nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležni CSIRT-ovi za sektore, podsektore i vrste subjekata kako je navedeno niže u tablici.
Nacionalni centar za kibernetičku sigurnost predstavlja nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za 14 sektora i 14 podsektora, a nadležni CSIRT za 15 sektora i 15 podsektora.
POPIS NADLEŽNOSTI U PODRUČJU KIBERNETIČKE SIGURNOSTI
| SEKTORI | PODSEKTORI | NADLEŽNO TIJELO | CSIRT |
|---|---|---|---|
| ENERGETIKA | Električna energija | NCSC-HR | NCSC-HR |
| Centralizirano grijanje i hlađenje | |||
| Nafta | |||
| Plin | |||
| Vodik | |||
| PROMET | Željeznički promet | NCSC-HR | NCSC-HR |
| Vodeni promet | |||
| Cestovni promet | |||
| Zračni promet | HACZ | NCSC-HR | |
| BANKARSTVO | HNB | NCERT | |
| FINANCIJE | HANFA | NCERT | |
| ZDRAVSTVO | NCSC-HR | NCSC-HR | |
| VODA ZA LJUDSKU POTROŠNJU | NCSC-HR | NCSC-HR | |
| OTPADNE VODE | NCSC-HR | NCSC-HR | |
| DIGITALNA INFRASTRUKTURA | NCSC-HR MZOM MPUDT HAKOM |
NCSC-HR NCERT |
|
| UPRAVLJANJE USLUGAMA IKT-A (B2B) | NCSC-HR | NCSC-HR | |
| JAVNI SEKTOR | UVNS | NCSC-HR | |
| SVEMIR | NCSC-HR | NCSC-HR | |
| POŠTANSKE I KURIRSKE USLUGE | NCSC-HR | NCSC-HR | |
| GOSPODARENJE OTPADOM | NCSC-HR | NCSC-HR | |
| IZRADA, PROIZVODNJA i DISTRIBUCIJA KEMIKALIJA | NCSC-HR | NCSC-HR | |
| PROIZVODNJA, PRERADA I DISTRIBUCIJA HRANE | NCSC-HR | NCSC-HR | |
| PROIZVODNJA | Proizvodnja medicinskih proizvoda i in vitro dijagnostičkih medicinskih proizvoda | NCSC-HR | NCSC-HR |
| Proizvodnja računala te elektroničkih i optičkih proizvoda | |||
| Proizvodnja električne opreme | |||
| Proizvodnja strojeva i uređaja d.n. | |||
| Proizvodnja motornih vozila, prikolica i poluprikolica | |||
| Proizvodnja ostalih prijevoznih sredstava | |||
| PRUŽATELJI DIGITALNIH USLUGA | NCSC-HR | NCSC-HR | |
| ISTRAŽIVANJE | MZOM | NCERT | |
| SUSTAV OBRAZOVANJA | MZOM | NCERT |
Dodatno, u sektoru digitalne infrastrukture podjela nadležnosti u području kibernetičke sigurnosti definira se prema vrsti subjekta kako je navedeno niže u tablici.
DIGITALNA INFRASTRUKTURA
| SEKTOR | VRSTA SUBJEKTA | NADLEŽNO TIJELO | CSIRT |
|---|---|---|---|
| DIGITALNA INFRASTRUKTURA | Pružatelji središta za razmjenu internetskog prometa | NCSC-HR | NCSC-HR |
| Pružatelji usluga DNS-a, osim operatora korijesnkih poslužitelja naziva | NCSC-HR | NCSC-HR | |
| Registar naziva vršne nacionalne internetske domene | MZOM | NCERT | |
| Pružatelji usluga računalstva u oblaku | NCSC-HR | NCSC-HR | |
| Pružatelji usluga podatkovnog centra | NCSC-HR | NCSC-HR | |
| Pružatelji mreže za isporuku sadržaja | NCSC-HR | NCSC-HR | |
| Pružatelji usluga povjerenja | MPUDT | NCSC-HR | |
| Pružatelji javnih elektroničkih komunikacijskih mreža | HAKOM | NCSC-HR | |
| Pružatelji javno dostupnih elektroničkih komunikacijskih usluga | HAKOM | NCSC-HR |
Zakon o kibernetičkoj sigurnosti definira nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti, nadležna tijela za provedbu posebnih zakona i nadležne CSIRT-ove.
Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti provode kategorizaciju subjekata, vode popise ključnih i važnih subjekata te provode stručni nadzor nad ključnim i važnim subjektima. U poslovima kategorizacije, postupanju u slučaju značajnih incidenata te poslovima stručnog nadzora usko surađuju i koordiniraju svoj rad s tijelima državne uprave nadležnim za pojedini sektor u kojem posluju subjekti iz njihove nadležnosti.
Nadležna tijela za provedbu posebnih zakona osigurat će provedbu zahtjeva kibernetičke sigurnosti prema zakonima koji se također bave pitanjima kibernetičke sigurnosti te koji će se primjenjivati kao jednakovrijedan ili stroži lex specialis na sektor bankarstva, financija i podsektor zračnog prometa. Nadležna tijela za provedbu posebnih zakona su Hrvatska narodna banka (HNB), Hrvatska agencija za nadzor financijskih usluga (HANFA) i Hrvatska agencija za civilno zrakoplovstvo (HACZ).
CSIRT tijela, odnosno nadležna tijela za prevenciju i zaštitu od kibernetičkih incidenata su CSIRT unutar Nacionalnog centra za kibernetičku sigurnost (NCSC-HR) i Nacionalni CERT (CARNET). Nacionalni CERT nadležno je CSIRT tijelo za sektor bankarstva, infrastrukture financijskog tržišta, istraživanja, sustav obrazovanja te za registar naziva vršne nacionalne internetske domene, dok je za ostale sektore, podsektore i vrste subjekata nadležan CSIRT unutar NCSC-HR.
Ključni subjekti dužni su provoditi reviziju kibernetičke sigurnosti najmanje jednom u dvije godine, a moguće je provođenje revizije i prije isteka roka kada to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti.
Važni subjekti dužni su provoditi samoprocjenu kibernetičke sigurnosti najmanje jednom u dvije godine, dok su reviziju kibernetičke sigurnosti dužni provesti samo kada to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti kao nadzornu mjeru.
Reviziju kibernetičke sigurnosti ključnih i važnih subjekata provode revizori kibernetičke sigurnosti. Revizori su pružatelji upravljanih sigurnosnih usluga kojima je izdan nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti ili odgovarajući kibernetički sigurnosni certifikat na temelju mjerodavne europske sheme kibernetičke sigurnosne certifikacije.
Iznimno, revizor kibernetičke sigurnosti za tijela državne uprave i druga državna tijela je Zavod za sigurnost informacijskih sustava (ZSIS) kao središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti.
Nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti izdaje ZSIS u ulozi središnjeg državnog tijela za obavljanje poslova u tehničkim područjima informacijske sigurnosti u postupku i prema zahtjevima koji će biti propisani pravilima sigurnosne certifikacije.
Samoprocjene kibernetičke sigurnosti provodi subjekt s vlastitim ljudskim potencijalima ili za provedbu samoprocjene može angažirati vanjskog davatelja usluge.
Pravila, tehnički zahtjevi, norme, obrasci i postupci koji se primjenjuju u postupcima samoprocjene kibernetičke sigurnosti propisani su Uredbom o kibernetičkoj sigurnosti.
Stručni nadzor provode tijela nadležna za provedbu zahtjeva kibernetičke sigurnosti.
Stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti nad ključnim subjektom provodi se najmanje jednom u roku tri do pet godina (tzv. ex-ante nadzori). Također, stručni nadzor nad ključnim subjektom provodi se i prije isteka navedenih rokova, ako nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti raspolaže informacijama koje upozoravaju da subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama ili da ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima ili da ne postupa po zahtjevima nadležnih tijela iz Zakona o kibernetičkoj sigurnosti (tzv. ex-post nadzori).
Stručni nadzor nad važnim subjektom provodi se kada nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti raspolaže informacijama koje upozoravaju na to da subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama ili da ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima ili da ne postupa po zahtjevima nadležnih tijela iz Zakona o kibernetičkoj sigurnosti (tzv. ex-post nadzori).
Stručni nadzor se provodi na način da se u nadziranom subjektu obavlja neposredan uvid u podatke, dokumentaciju, uvjete i načine provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima, izvršavanja propisanih obveza obavještavanja o kibernetičkim prijetnjama i incidentima te postupanja po zahtjevima nadležnih tijela.
Također, stručni nadzor se može provesti uvidom u izvješća o provedenim revizijama kibernetičke sigurnosti te po potrebi drugim, dodatno zatraženim i dostavljenim podacima i dokumentaciji nadziranog subjekta.
Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti dužno je o provedbi stručnog nadzora obavijestiti nadzirani subjekt najkasnije u roku od pet dana prije dana početka nadzora.
Stručni nadzor može biti proveden i bez prethodne obavijesti u slučaju postojanja razloga koji upozoravaju na potrebu za hitnim postupanjem subjekta sa značajnim incidentom ili radi sprečavanja ili ublažavanja rizika koji proizlaze iz ozbiljne kibernetičke prijetnje.
Zakonom o kibernetičkoj sigurnosti uvedeni su dobrovoljni mehanizmi kibernetičke zaštite namijenjeni široj primjeni, odnosno i subjektima koji nisu kategorizirani kao ključni i važni subjekti.
Svaki subjekt, koji nije kategoriziran kao ključni ili važni subjekt po Zakonu o kibernetičkoj sigurnosti, može provoditi samoprocjene kibernetičke sigurnosti za mrežne i informacijske sustave kojima se služi u svom poslovanju ili u pružanju svojih usluga.
Također, može dobrovoljno obavijestiti nadležni CSIRT o svakom značajnom incidentu, ostalim incidentima, kibernetičkim prijetnjama ili izbjegnutim incidentima, pod uvjetom da periodično provodi samoprocjene kibernetičke sigurnosti.
Radi podizanja ukupne sposobnosti i otpornosti u području kibernetičke sigurnosti, središnje državno tijelo za kibernetičku sigurnost kontinuirano razvija nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora.
Ključni subjekti, važni subjekti i drugi subjekti koji nisu kategorizirani kao ključni ili važni subjekti sukladno ovom Zakonu mogu međusobno dobrovoljno razmjenjivati informacije o kibernetičkoj sigurnosti u svrhu povećanja razine kibernetičke sigurnosti ili postupanja s incidentima.
Posljednje, svaka fizička i pravna osoba može anonimno prijaviti ranjivost CSIRT koordinatoru za otkrivanje ranjivosti.
